Esta é uma atualização para o problema.
O código binário do AWS IoT Greengrass Core V1 (1.10.4 e 1.11.3) com runC corrigido agora está disponível para download (https://docs.aws.amazon.com/greengrass/v1/developerguide/what-is-gg.html). Um Greengrass V2 Lambda Launcher v2.0.6 atualizado (https://docs.aws.amazon.com/greengrass/v2/developerguide/lambda-launcher-component.html) também está disponível no console do AWS IoT. Recomendamos que os clientes do Greengrass atualizem para os binários e o Lambda Launcher mais recentes para incorporar o patch do runC mais recente.
Você está visualizando uma versão anterior deste boletim de segurança.
A AWS está ciente do problema de segurança recém-divulgado no runC, que é um componente de muitos sistemas de gerenciamento de contêineres (CVE-2021-30465). Com exceção dos produtos da AWS listados abaixo, nenhuma ação do cliente é necessária para lidar com esse problema.
Amazon Elastic Container Service (Amazon ECS)
A Amazon ECS lançou imagens de máquina da Amazon (AMIs) atualizadas e otimizadas para ECS com o tempo de execução do contêiner corrigido em 21 de maio de 2021. Mais informações sobre as AMIs otimizadas para ECS estão disponíveis em https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html.
Para resolver esse problema enquanto isso, recomendamos que os clientes do ECS executem yum update --security para obter esse patch. Informações adicionais estão disponíveis em https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-updates.html.
Amazon Elastic Kubernetes Service (Amazon EKS)
A Amazon EKS lançou imagens de máquina da Amazon (AMIs) atualizadas e otimizadas para EKS com o tempo de execução do contêiner corrigido. Informações adicionais sobre a AMI otimizada para EKS estão disponíveis em https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html.
Recomendamos que os clientes do EKS substituam todos os nós do operador para usar a versão mais recente da AMI otimizada para EKS. Instruções sobre a atualização de nós do operador estão disponíveis em https://docs.aws.amazon.com/eks/latest/userguide/update-workers.html.
Bottlerocket
A Amazon lançou AMIs do Bottlerocket e atualizações no local. Atualizar para a versão local mais recente ou substituir as instâncias pelas AMIs mais recentes resolverá esse problema.
Se você usa o Bottlerocket Update Operator para Kubernetes, a expectativa é que os nós comecem a ser atualizados em um dia e todos os nós em uma semana. Os clientes podem agilizar o upgrade manualmente por meio de duas chamadas de API: apiclient set updates.ignore-waves=true e apiclient update apply --check --reboot. Assim que as atualizações forem concluídas, reverta para a configuração padrão com apiclient set updates.ignore-waves=false.
Amazon Linux e Amazon Linux 2
Uma versão atualizada do runc está disponível para repositórios extras do Amazon Linux 2 (*runc-1.0.0-0.2.20210225.git12644e6.amzn2*) e repositórios do Amazon Linux AMI 2018.03 (*runc-1.0.0-0.2.20210225.git12644e6. 3.amzn1*). A AWS recomenda que os clientes que usam contêineres no Amazon Linux atualizem para a versão mais recente do runc e reiniciem todos os contêineres em execução.
AWS Cloud9
Uma versão atualizada do ambiente AWS Cloud9 com o Amazon Linux está disponível. Por padrão, os clientes terão correções de segurança aplicadas na primeira inicialização. Os clientes que possuem ambientes AWS Cloud9 baseados em EC2 devem iniciar novas instâncias da versão mais recente do AWS Cloud9. Mais informações estão disponíveis no Centro de Segurança do Amazon Linux (https://alas.aws.amazon.com/).
Clientes da AWS Cloud9 que usam ambientes SSH não criados com o Amazon Linux devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas.
AWS IoT Greengrass
O código binário atualizado do AWS IoT Greengrass Core V1 e Greengrass V2 Lambda Launcher estará disponível em 15 de junho como as versões mais recentes do Greengrass. Este boletim será atualizado quando as correções estiverem disponíveis.
O Greengrass usa a biblioteca runC para executar funções Lambda dentro de um contêiner compatível com OCI em dispositivos Greengrass Core. As funções do Lambda implantadas em Greengrass Cores são fornecidas ao Greengrass por meio de APIs de nuvem autorizadas autenticadas, da CLI local autorizada autenticada (se habilitada) ou por meio de acesso root local. Isso significa que o Greengrass só implementará e executará as funções do Lambda pretendidas, e nenhuma ação é necessária, desde que as funções do Lambda sejam implantadas a partir de origens confiáveis. Como prática recomendada, os clientes só devem implantar Lambdas de fontes confiáveis.
AMI do Amazon Deep Learning
Versões atualizadas do Deep Learning Base AMI e Deep Learning AMI para Amazon Linux e Amazon Linux2 estão disponíveis no console do AWS EC2 e no AWS Marketplace. A AWS recomenda que os clientes que usaram o Docker com a AMI do Deep Learning Base ou a AMI do Deep Learning executem novas instâncias da versão mais recente da AMI (v35.0 ou posterior para a AMI do Deep Learning Base no Amazon Linux, v38.0 ou posterior para a AMI do Deep Learning Base no Amazon Linux2, v45.0 ou posterior para a AMI do Deep Learning Base no Amazon Linux e Amazon Linux2). Informações adicionais estão disponíveis na Central de Segurança do Amazon Linux.
AWS Batch
Após a atualização da AMI:
Uma AMI otimizada do Amazon ECS Optimized está disponível como a AMI padrão do ambiente de computação. Recomendamos que os clientes do Batch substituam seus ambientes de computação existentes pela AMI disponível mais recente. Instruções para substituir o Ambiente de Computação estão disponíveis na documentação de produto do Batch.
(https://docs.aws.amazon.com/batch/latest/userguide/compute_environments.html#managed_compute_environments).
Clientes do Batch que não usam a AMI padrão devem entrar em contato com o fornecedor dos seus sistemas operacionais para obter as atualizações necessárias para lidar com esses problemas. As instruções para AMI customizada do Batch estão disponíveis na documentação do produto Batch (https://docs.aws.amazon.com/batch/latest/userguide/create-batch-ami.html).
AWS Elastic Beanstalk
Versões atualizadas da plataforma baseada no AWS Elastic Beanstalk Docker estão disponíveis. Recomendamos que os clientes atualizem imediatamente acessando a página de configuração de Atualizações gerenciadas e clicando no botão "Apply Now" (Aplicar agora). Os clientes que não tiverem a opção Atualizações de plataforma gerenciada habilitada poderão atualizar a versão da plataforma do ambiente conforme as instruções fornecidas aqui. Os clientes que usam Atualizações da Plataforma Gerenciada serão atualizados automaticamente para a versão mais recente da plataforma na janela de manutenção selecionada, sem a necessidade realizar alguma ação. As Notas de release também estão disponíveis.